Patchday: Microsofts letzte Sicherheitsupdates für ältere Internet-Explorer-Versionen
Neun Updates sollen Microsofts Edge, Office, Silverlight und Windows sicherer machen. Da der Support für ältere Internet-Explorer-Versionen ausläuft, werden diese an diesem Patchday das letzte Mal gefixt.
In diesem Monat stopft Microsoft insgesamt 22 Sicherheitslücken [1] in Edge, Exchange Server, Internet Explorer, Office, Silverlight, VBScripting Engine und Windows (Client und Server). Darum kümmern sich neun Sicherheitsupdates, von denen der Konzern sechs als kritisch und drei als wichtig einstuft. Einen Großteil der Schwachstellen können Angreifer über das Provozieren von Speicherfehlern ausnutzen.
Die erste kritische Lücke klafft im Internet Explorer 7 bis 11 [2] in verschiedenen Windows-Versionen. Lässt sich ein Nutzer auf eine präparierte Webseite locken, können Angreifer die gleichen Nutzerrechte wie das Opfer erlangen und eigenen Code aus der Ferne ausführen, warnt Microsoft. Über eine weitere als kritisch eingestufte Lücke in Edge [3] können Angreifer ebenfalls Code aus der Ferne ausführen. Das Angriffsszenario ist identisch.
Kein Support mehr für ältere Internet-Explorer-Versionen
An diesem Patchday erhalten Nutzer von älteren Internet-Explorer-Versionen das letzte Mal Sicherheitsupdates, denn Microsoft hat den Support für diese eingestellt [4]. Nutzer sollten jeweils auf die noch unterstützte Version [5] umsteigen.
Als kritisch bezeichnet Microsoft auch eine Sicherheitsanfälligkeit im VBScript-Skriptmodul [6] in Windows Server 2008 und Windows Vista. Auch hier dient eine bösartige Webseite als Einfallstor, um Remotecode auszuführen. Das soll auch über eine weitere kritische Schwachstelle [7] in Windows 7, Windows 8 und 8.1, Windows 10, Windows RT und RT 8,1, Windows Server 2008 und 2008 R2, Windows Server 2012 und 2012 R2 und Windows Vista möglich sein.
In Silverlight klaffen zwei als kritisch eingestufte Lücken [8], über die Angreifer ebenfalls über manipulierte Webseiten auf Computer gelangen und eigenen Code ausführen können. In einem Fall soll das über eine speziell gestaltete Silverlight-Anwendung [9] gelingen. In beiden Fällen können Angreifer die Kontrolle über Computer erlangen.
Die kritische Schwachstelle in Office [10] soll über ein manipuliertes Office-Dokument angreifbar sein. Anschließend können Angreifer Microsoft zufolge Code mit den gleichen Nutzerrechten ausführen wie der zu diesem Zeitpunkt angemeldete Nutzer.
Lücken mit der Bewertung hoch
Um eine mit der Bewertung hoch eingestufte Schwachstelle [11] in Windows 7, Windows 8 und 8.1, Windows 10, Windows RT und RT 8,1, Windows Server 2008 und 2008 R2, Windows Server 2012 und 2012 R2 und Windows Vista ausnutzen zu können, muss sich ein Angreifer bei einem Zielsystem anmelden und eine spezielle Anwendung ausführen. Anschließend soll er Code aus der Ferne ausführen können. Über eine weitere Lücke in diesen Windows-Versionen [12] kann sich ein Angreifer im gleichen Angriffsszenario mehr Berechtigungen verschaffen.
Die letzte mit der Bewertung hoch eingestufte Lücke klafft im Exchange Server [13]. Dabei soll Outlook Web Access (OWA) Webanforderungen nicht ordnungsgemäß verarbeiten. Angreifer können so Spoofing betreiben.
Das Sicherheitsupdate mit der Kennung MS16-009 fehlt in der Auflistung; in der Liste folgt auf MS16-008 gleich MS16-010. Eventuell hat Microsoft dieses aufgrund von Kompatibilitätsproblemen kurzfristig zurückgezogen.
Sicherheitsempfehlungen
Microsoft hat zudem verschiedenen Sicherheitsempfehlungen veröffentlicht. Eine beschreibt die Abwertung von SHA-1 [14] im Microsoft Root Certificate Program. Die nächste Empfehlung beschreibt die Verbesserung bei der Aufnahme von TLS-Sessions [15]. Darüber hinaus gibt es noch eine Empfehlung für ActiveX-Killbits [16] für IBM Endpoint Manager for Remote Control und IBM Assist On-site. Abschließend verweist Microsoft nochmals auf die Sicherheitsempfehlung in Bezug auf das Flash-Update [17] für den Internet Explorer. (des [18])
URL dieses Artikels:
https://www.heise.de/-3069688
Links in diesem Artikel:
[1] https://technet.microsoft.com/library/security/ms16-jan
[2] https://technet.microsoft.com/library/security/MS16-001
[3] http://go.microsoft.com/fwlink/?linkid=718002
[4] https://www.heise.de/news/Das-Support-Ende-fuer-alte-Internet-Explorer-Versionen-ist-da-3068332.html
[5] https://support.microsoft.com/en-us/lifecycle#gp/Microsoft-Internet-Explorer
[6] https://technet.microsoft.com/library/security/MS16-003
[7] https://technet.microsoft.com/library/security/MS16-005
[8] http://go.microsoft.com/fwlink/?linkid=718001
[9] http://go.microsoft.com/fwlink/?linkid=717994
[10] http://go.microsoft.com/fwlink/?linkid=717998
[11] http://go.microsoft.com/fwlink/?linkid=718006
[12] http://go.microsoft.com/fwlink/?linkid=718007
[13] http://go.microsoft.com/fwlink/?linkid=717997
[14] https://technet.microsoft.com/library/security/3123479.aspx
[15] https://technet.microsoft.com/library/security/3123479.aspx
[16] https://technet.microsoft.com/library/security/3118753.aspx
[17] https://technet.microsoft.com/de-de/library/security/2755801.aspx
[18] mailto:des@heise.de
Copyright © 2016 Heise Medien